카스퍼스키가 북한 해킹 조직 라자루스가 한국 내 주요 산업을 겨냥해 수행한 공급망 사이버 공격 정황을 포착하고, 관련 취약점과 악성코드 분석 결과를 발표했다.
공격에는 국내에서 널리 사용되는 보안 파일 전송 소프트웨어인 이노릭스 에이전트의 제로데이 취약점이 활용됐다. 해당 취약점은 카스퍼스키에 의해 사전에 탐지되어 한국인터넷진흥원(KrCERT)과 공급사에 보고되었고, 이후 패치가 배포됐다.
이번 공격은 워터링 홀 기법과 서드파티 소프트웨어 취약점 악용을 결합한 형태로, 카스퍼스키는 이 캠페인을 오퍼레이션 싱크홀(Operation SyncHole)로 명명했다. 대상은 소프트웨어, IT, 금융, 반도체, 통신 등 최소 6개 이상의 국내 조직으로 파악됐다.
라자루스는 이노릭스 에이전트 9.2.18.496 버전의 원데이 취약점을 통해 시스템에 침투했으며, 이후 ThreatNeedle과 LPEClient 같은 대표 악성코드를 배포했다. 아가멤논 다운로더가 초기 감염 경로로 사용됐으며, 악성코드는 메모리 상에서 합법적인 프로세스를 통해 실행됐다.
또한 공격에는 한국산 보안 소프트웨어인 CrossEX의 하위 프로세스를 이용한 추가 감염 사례도 발견됐다. CrossEX와 관련된 취약점은 한국인터넷진흥원이 공식 권고문을 통해 존재를 인정했고, 조사 기간 중 패치가 완료됐다.
카스퍼스키는 공격자가 활용하기 전 단계에서 임의 파일 다운로드 제로데이 취약점을 선제적으로 탐지했으며, 해당 취약점은 KVE-2025-0014 식별자로 등록되었다.
카스퍼스키 이효은 한국지사장은 고도화된 공격은 단순한 취약점 패치만으로는 대응이 어렵다며, 지속적인 보안 상태 점검과 정보 공유를 통한 민관 협력이 필수라고 강조했다. 이고르 쿠즈네초프 GReAT 디렉터는 지역 특화 소프트웨어와 구형 시스템의 서드파티 도구들이 공격에 취약한 구조라며, 공격 표면을 줄이기 위한 구조적 개선이 필요하다고 지적했다.
카스퍼스키는 관련 악성코드 분석과 위협 인텔리전스를 지속 추적 중이며, 한국 내 반복되는 공급망 공격에 대한 대응을 강화해 나갈 방침이다.
0 / 0
